Хакер устранил уязвимость после взлома, чтобы заблокировать других злоумышленников
Исследователи Red Canary сообщили о новой тактике, зафиксированной при атаках на облачные Linux-системы. Злоумышленник, получивший доступ через критическую уязвимость в Apache ActiveMQ CVE-2023-46604, после её эксплуатации сам устранил уязвимость, установив исправление — вероятно, чтобы ограничить доступ к системе для других хакеров и сохранить контроль над скомпрометированной инфраструктурой.
Речь идёт о критической ошибке в Apache ActiveMQ — брокере сообщений с открытым исходным кодом. Уязвимость, обнаруженная в 2023 году, позволяет удалённое выполнение кода из-за недостаточной проверки типов классов в OpenWire-командах. Хотя обновления были выпущены почти два года назад, CVE-2023-46604 по-прежнему активно используется в атаках, особенно в целях развертывания вредоносного ПО: от криптомайнеров до программ-вымогателей.
В ходе одного из инцидентов, проанализированных Red Canary, атакующий после эксплуатации загрузил два новых JAR-файла, фактически заменив ими уязвимые компоненты ActiveMQ. Такие действия по сути эквивалентны установке легитимного патча.
Исследователи считают, что таким способом злоумышленник стремится устранить возможных конкурентов и одновременно усложнить работу защитных систем, в том числе автоматических сканеров уязвимостей, которые могли бы обнаружить незащищённый компонент.
Кроме того, устранение уязвимости позволяет сбить с толку специалистов по безопасности: при попытке внешнего анализа инфраструктуры создаётся впечатление, что система защищена и компрометации не было. Тем временем, злоумышленник уже успел установить устойчивые каналы доступа, использовав другие методы сохранения присутствия.
В Red Canary подчеркнули, что эта тактика показывает, насколько распространённой и конкурентной может быть среда киберугроз. Хакеры всё чаще применяют нетрадиционные подходы, адаптируясь к динамике борьбы за контроль над взломанными системами. Устранение уязвимости после её эксплуатации становится не только способом сокрытия следов, но и инструментом блокировки конкурирующих группировок.
Источник: Red Canary
Ссылка на TG-канал: https://t.me/cisoclub/4458
